ESpecterBootkitは2012年からバックドアを植えています
ESpecterは悪意のあるインプラントであり、ブートキットとして識別されています。このマルウェアはごく最近特定されましたが、2012年から活動しています。これは、このマルウェアがいかにステルスであるかを示しています。もちろん、セキュリティツールを回避する能力だけがこの理由ではなく、大規模な攻撃でも使用されていません。代わりに、その作成者はESpecterブートキットを標的型攻撃に使用しており、被害者の数は非常に限られているようです。
過去10年間で、ESpecterの特定のセクションは、現在のコンピューターシステムと互換性を持たせるために大幅な変更が加えられました。たとえば、古いバリアントはBIOSとマスターブートレコード(MBR)に侵入することで機能しました。ただし、最新のシステムでは、OSをロードする前にUnified Extensible Firmware Interface(UEFI)を使用します。これが、後のバージョンのESpecterがUEFIコンポーネントへの侵入に焦点を合わせた理由です。
ESpecter Bootkitはどのマルウェアを展開しましたか?
通常、ブートキットは、検出が困難な他の注目度の高いマルウェアと組み合わせて使用されます。これらのキャンペーンでは、犯罪者はESpecterが自動的にロードするカスタムビルドのバックドアを使用することがよくありました。このバックドアのおかげで、犯罪者はファイルを盗んだり、キーストロークを記録したり、リモートコマンドを実行したりできるようになります。これらの機能は、おそらくESpecterキャンペーンの目的がスパイ活動であったことを意味します。
ESpecter攻撃に関する興味深い情報の1つは、セキュアブート機能が無効になっているシステムでのみ機能することです。この機能はWindows8で導入されたため、Windows 8以降を実行しているすべてのWindowsマシンは、セキュアブート機能のおかげでESpecterから安全である可能性があります。 ESpecterをコンピューターに植えるために使用される特定の方法についての十分な情報がありません。専門家は、攻撃者が被害者のマシンに物理的にアクセスした可能性があるか、UEFIサービスの未知の脆弱性にアクセスした可能性があると示唆しています。